アカウント名:
パスワード:
> #ファイアウォールがあれば安心って考え方がちゃんちゃらおかしい。
質問者の発言も「~べきだと教え込まれている。」程度なのも困ったもの。理由などの説明が有れば答えも考えられるのだが。そして、理由はそれぞれなのだから「普通」かと聞かれても答えに困る。
この質問者もそうですが知識のない人ほど怖がって「なんでもかんでもやるのが当然」と言う傾向がありますね。
逆に知識があるからこそ、やるのが当然という人もいるわけで。そこだけで判定はできないでしょう。
知識はあっても経験はなさそうだよね
セキュリティの原則の中に「最小限の原則」というのがある。
つまり、この場合なら、システムへのアクセスは可用性を損なわない最小限にしなければいけない という風に使う。普通か、と聞かれれば”普通だ”と答えるよ、自分は。
原則だから、絶対やれ、ということではなく、FW適用はやるのが普通でバイパスするには理由が必要。ということ。
システムにアクセスするFWは動かさない方がより最小限ですよ。
セキュリティが高ければそりゃいいんだけど、人件費を無視しやがるお偉いさんがいる時もある。運用でカバーするAというルールを作る->Aを完全にカバーできる機械的な仕掛けBを作る->お偉いさん:「念のため、AもBもやってね!」Bではカバーできない事例が見つかる->運用でカバーするCというルールができる->機械仕掛Bが改良されDができる->お偉いさん:「念のため、A,C,Dをやってね!」以下、運用でカバーするルールは増え続けるorzどんなに意味が無いor効果が小さくても、逆に安全に危害を与えるルールじゃないかぎり消えないのよね・・・。「安全は全てに優先する」の号令のもと、運用でカバーするために全従業員が費やす時間は無視されるorz
> 守るべき情報が正しく守られるなら、それ以外の部分は必要以上に厳しくすると> コストの上昇を招くだけで、費用対効果(?)が合わなくなる時がある。
ベネッセという、日本人の個人情報の1/4を持っている会社があってだな、守るべき情報を正しく守れていると考えて、余計なコストを削減した運営をしたところだな、回復不能な損害を多くの人々に与えてしまったという。自身も200億円の予算を組んで対応する羽目になったという。
セキュリティに費用対効果はありません。お金はかければかけるほどいい。完璧なセキュリティというものもありません。お金はかければかけるほど完璧に近づいていく。
セキュリティには人も含まれる。むしろ人の割合が大きいかもしれない。それなのに、最重要システムを子会社に外部委託、その子会社も派遣社員を使って管理していたという杜撰さ。そういう箇所の運用管理人は厚遇しないとダメでしょう。
セキュリティには惜しまずに、出せるだけお金を出して整備しようよ!
しょぼい釣り針だなぁ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
セキュリティ、セキュリティもいいけれど (スコア:2)
意識するあまり、運用コストが高くついてしまう場合がある。
守るべき情報が正しく守られるなら、それ以外の部分は必要以上に厳しくするとコストの上昇を招くだけで、費用対効果(※)が合わなくなる時がある。
※ここで言う費用対効果は、漏洩した時の被害で発生する信頼の回復の費用も含む。
クライアントセキュリティとサーバ(業務データ)のセキュリティは分けて考えたいなぁ・・・。
それにちゃんとファイアウォールを考えるなら、サーバとクライアントの間に専用のセキュリティアプライアンスなりWAFなりを設置するのがいい(楽)と思う。
#ファイアウォールがあれば安心って考え方がちゃんちゃらおかしい。
#L3のファイアウォール程度なら、正直アプリの正常通信に見せかける攻撃にはほとんど意味が無い。
#ベネッセだって結局ソーシャル?権限を持った人間の問題だったし。
Re:セキュリティ、セキュリティもいいけれど (スコア:1)
> #ファイアウォールがあれば安心って考え方がちゃんちゃらおかしい。
質問者の発言も「~べきだと教え込まれている。」程度なのも困ったもの。
理由などの説明が有れば答えも考えられるのだが。
そして、理由はそれぞれなのだから「普通」かと聞かれても答えに困る。
Re: (スコア:0)
この質問者もそうですが知識のない人ほど怖がって「なんでもかんでもやるのが当然」と言う傾向がありますね。
Re: (スコア:0)
逆に知識があるからこそ、やるのが当然という人もいるわけで。
そこだけで判定はできないでしょう。
Re: (スコア:0)
知識はあっても経験はなさそうだよね
Re: (スコア:0)
セキュリティの原則の中に「最小限の原則」というのがある。
つまり、この場合なら、システムへのアクセスは可用性を損なわない最小限にしなければいけない という風に使う。
普通か、と聞かれれば”普通だ”と答えるよ、自分は。
原則だから、絶対やれ、ということではなく、FW適用はやるのが普通でバイパスするには理由が必要。ということ。
Re: (スコア:0)
システムにアクセスするFWは動かさない方がより最小限ですよ。
愚痴 (スコア:0)
セキュリティが高ければそりゃいいんだけど、人件費を無視しやがるお偉いさんがいる時もある。
運用でカバーするAというルールを作る->Aを完全にカバーできる機械的な仕掛けBを作る->お偉いさん:「念のため、AもBもやってね!」
Bではカバーできない事例が見つかる->運用でカバーするCというルールができる->機械仕掛Bが改良されDができる->お偉いさん:「念のため、A,C,Dをやってね!」
以下、運用でカバーするルールは増え続けるorz
どんなに意味が無いor効果が小さくても、逆に安全に危害を与えるルールじゃないかぎり消えないのよね・・・。
「安全は全てに優先する」の号令のもと、運用でカバーするために全従業員が費やす時間は無視されるorz
Re: (スコア:0)
> 守るべき情報が正しく守られるなら、それ以外の部分は必要以上に厳しくすると
> コストの上昇を招くだけで、費用対効果(?)が合わなくなる時がある。
ベネッセという、日本人の個人情報の1/4を持っている会社があってだな、
守るべき情報を正しく守れていると考えて、余計なコストを削減した運営を
したところだな、回復不能な損害を多くの人々に与えてしまったという。
自身も200億円の予算を組んで対応する羽目になったという。
セキュリティに費用対効果はありません。
お金はかければかけるほどいい。
完璧なセキュリティというものもありません。
お金はかければかけるほど完璧に近づいていく。
セキュリティには人も含まれる。むしろ人の割合が大きいかもしれない。
それなのに、最重要システムを子会社に外部委託、その子会社も派遣社員を
使って管理していたという杜撰さ。
そういう箇所の運用管理人は厚遇しないとダメでしょう。
セキュリティには惜しまずに、出せるだけお金を出して整備しようよ!
Re: (スコア:0)
しょぼい釣り針だなぁ